---
layout: ko-KR/default
title: Rust 보안 정책 &middot; Rust 프로그래밍 언어
---

<h1>Rust 보안 정책</h1>

<h2>버그 보고하기</h2>

<p>안전성은 Rust의 주 원칙 중 하나이며,
이를 따라 저희는 Rust의 구현이 안전하다는 걸 확실히 하려 합니다.
찾으신 문제를 책임을 가지고 공표하는 데 시간을 들여 주셔서 감사드립니다.</p>

<p>Rust 배포판의 모든 보안 버그는
<a href="mailto:security@rust-lang.org">security@rust-lang.org</a>에
이메일로 보고되어야 합니다.
이 메일링 리스트는 소규모의 보안 팀에게 배달됩니다.
24시간 안에 여러분의 메일에 답장이 갈 것이고,
48시간 안에 보고를 처리하는 다음 단계에 대해 더 자세한 응답을 받게 됩니다.
원하신다면 <a href="../rust-security-team-key.gpg.ascii">저희 공개키</a>로
보고를 암호화할 수 있습니다.
이 키는 <a
href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0xEFB9860AE7520DAC">MIT
키 서버</a> 및 <a href="#key">이 페이지 아래쪽</a>에서도 찾을 수 있습니다.</p>

<p>이 이메일 주소는 스팸을 많이 받으므로 보고가 유실되지 않도록
설명이 담긴 제목을 사용해 주세요.
보고에 대한 첫 답장 뒤 보안 팀은 수정 및 완전한 발표까지의 과정을
알려 드리도록 노력할 것입니다.
<a href="https://en.wikipedia.org/wiki/RFPolicy">RFPolicy</a>의 추천에 따라
최신 정보는 적어도 5일마다 한 번씩 갱신될 것이며,
현실적으로는 아마 24시간에서 48시간마다 한 번 갱신될 것입니다.</p>

<p>메일에 대한 답장을 48시간이 지나도록 받지 못 했거나,
지난 5일간 보안 팀에서 아무 얘기도 듣지 못 했다면 다음을 시도해 볼 수 있습니다:</p>

<ul>
    <li>현 보안 조정자(<a href="mailto:steve@steveklabnik.com">Steve Klabnik</a>
        (<a href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0xDAE717EFE9424541">공개키</a>))에게 직접 연락해 봅니다.</li>
    <li>백업 연락처(<a href="mailto:andersrb@gmail.com">Brian Anderson</a>
        (<a href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0x16457A6368CFF26F">공개키</a>))로 직접 연락해 봅니다.</li>
    <li><a href="https://internals.rust-lang.org/">내부(internals) 포럼</a>에 글을 올리거나
    irc.mozilla.org의 #rust-internals IRC 채팅방에서 물어 봅니다.</li>
</ul>

<p>토론 포럼 및 #rust-internals IRC 채널은 공개 장소라는 점을 알려 드립니다.
이 곳들로 장소를 넓힐 때 문제를 언급하지 말아 주세요.
그냥 보안 팀 아무한테나 연락을 하려 한다고만 말하세요.</p>

<h2>공표 정책</h2>

<p>Rust 프로젝트는 다섯 단계의 공표 절차를 가지고 있습니다.</p>

<ol>
<li>보안 보고를 받은 뒤 주 담당자에게 할당됩니다.
이 사람이 수정 및 릴리스 과정을 조정할 것입니다.</li>

<li>문제가 입증되고 어느 버전들이 영향을 받았는지 확인됩니다.</li>

<li>잠재적으로 비슷한 문제들이 있는지 코드를 감사합니다.</li>

<li>아직 유지보수 중인 모든 릴리스에 대한 수정이 준비됩니다.
이 수정은 공개 저장소에 커밋되지 않으며 발표 전까지 로컬에 유지됩니다.</li>

<li>보도 금지(엠바고)가 풀리는 날짜에
<a href="https://groups.google.com/forum/#!forum/rustlang-security-announcements">
Rust 보안 메일링 리스트</a>에 발표의 사본이 올라갑니다.
공개 저장소에 변경점이 올라가고 rust-lang.org에 새 빌드가 배치됩니다.
메일링 리스트에 공지된지 6시간 안에 Rust 블로그에 보고의 사본이 올라갈 것입니다.</li> </ol>

<p>이 과정에는, 특히 다른 프로젝트의 관리자들과 조정이 필요할 경우 시간이 걸릴 수 있습니다.
가능한한 버그를 빠르게 처리하려 노력하겠지만,
공표가 일관된 방법으로 처리될 수 있도록 위의 릴리스 과정을 따르는 것은 중요합니다.</p>

<h2>보안 소식을 받기</h2>

<p>모든 보안 발표를 받는 가장 좋은 방법은 <a
href="https://groups.google.com/forum/#!forum/rustlang-security-announcements">Rust
보안 발표 메일링 리스트</a>를 구독하는 것입니다.
이 메일링 리스트에는 아주 적은 양의 메일만 송신되며
보도 금지가 풀리는 시점에 공개 알림을 받게 됩니다.</p>

<h3>미리 알림받기</h3>

<p>저희는 리눅스 배포판들이 패키지를 갱신할 수 있도록 보도 금지가 풀리기 72시간 전에
<a href="http://oss-security.openwall.org/wiki/mailing-lists/distros">distros@openwall</a>에
보안 취약점을 발표할 것입니다.</p>

<h2>이 정책에 대한 의견</h2>

<p>이 정책을 개선하기 위한 의견이 있다면
<a href="mailto:security@rust-lang.org">security@rust-lang.org</a>로 메일을 보내 주세요.</p>

<h2 id="key">평문 PGP 키</h2>

<pre><code>{% include rust-security-team-key.gpg.ascii %}</code></pre>
